Peneliti keamanan Alexander Hagenah merilis alat terbaru bernama TotalRecall Reloaded yang mengungkap kelemahan pada fitur Recall di Microsoft Windows 11. Meskipun Microsoft telah melakukan perombakan keamanan, alat tersebut mampu mencegat data pengguna setelah autentikasi Windows Hello tanpa memerlukan hak akses administrator. Microsoft berpendapat bahwa hal ini bukanlah sebuah kerentanan.
Dua tahun lalu, Microsoft memperkenalkan Recall sebagai bagian dari Copilot+ PC, sebuah fitur yang dirancang untuk melacak penggunaan PC melalui tangkapan layar agar aktivitas masa lalu lebih mudah diingat. Awalnya dikritik karena menyimpan data yang tidak terenkripsi, Microsoft menunda peluncurannya dan meningkatkan keamanan: data kini telah dienkripsi, hanya dapat diakses melalui Windows Hello, dinonaktifkan secara bawaan, dan lebih baik dalam mengecualikan informasi sensitif seperti detail keuangan. Namun, Hagenah berpendapat bahwa meskipun basis data Recall itu sendiri—yang dilindungi oleh VBS enclave—sangat kuat, proses AIXHost.exe yang menangani data tidak memiliki perlindungan serupa. 'Brankasnya kuat, tetapi truk pengirimnya tidak,' tulisnya di halaman GitHub alat tersebut. Alat TotalRecall Reloaded menyuntikkan DLL ke dalam AIXHost.exe, yang memungkinkannya untuk mengambil tangkapan layar, teks OCR, dan metadata setelah pengguna melakukan autentikasi. Alat ini juga dapat mengakses tangkapan layar terbaru, metadata basis data, atau menghapus seluruh basis data tanpa autentikasi, serta terus mencegat data bahkan setelah Recall ditutup. Hagenah melaporkan masalah ini ke Security Response Center milik Microsoft pada 6 Maret; perusahaan tersebut mengklasifikasikannya sebagai 'bukan kerentanan' pada 3 April. Seorang juru bicara Microsoft menyatakan, 'Kami berterima kasih kepada Alexander Hagenah karena telah mengidentifikasi dan melaporkan masalah ini secara bertanggung jawab. Setelah penyelidikan mendalam, kami menentukan bahwa pola akses yang ditunjukkan konsisten dengan perlindungan dan kontrol yang ada, serta tidak menunjukkan adanya pembobolan batasan keamanan atau akses data tanpa izin. Periode otorisasi memiliki batas waktu dan perlindungan anti-hammering yang membatasi dampak dari kueri berbahaya.' Aplikasi seperti Signal Messenger, AdGuard, dan Brave Browser telah menerapkan solusi untuk mengecualikan konten mereka dari Recall.
